useless fact

[stas]

Four companies control 90% of CA authority market:

Symantec 38.1%
Comodo Group 29.1%
Go Daddy 13.4%
GlobalSign 10%

All headquartered in US. Which also means they are subject to national security letters, etc.

This entry was originally posted at http://stas.dreamwidth.org/924356.html.

Comments

[cat_mucius]

Ну, честно говоря, этот факт имеет значение разве что для определённого сценария: если правительственная спецслужба хочет устроить man-in-the-middle так, чтобы подменённый ключ выглядел подписанным тем же CA, что и оригинальный. Если же этим условием пренебречь, то сойдёт подпись от любого доверяемого CA (а количество ключей в "Trusted Root Certification Authorities" на обычном Windows уже подходит к 400, и кстати, там уже не только коммерческие CA, но и, натурально, правительства). Так что тогда куда более важным фактором становится не доля рынка, а какой процент компьютеров в мире этот CA числит в доверяемых.

Тут ещё уместно вспомнить, что компании Microsoft или Mozilla Corporation, контролирующие наполнение списка доверяемых CA - тоже американские и тоже subject to NSLs. Да и вообще что мешает любой легитимной программе, бегущей на юзерском компе, свои сертификаты в список добавлять невозбранно? А такие программы пишет великое множество американских компаний.

[stas]

А чем не сценарий?
1. Просим провайдера сменить DNS для клиента на наш сервер (или просто незаметно просим его раутер сделать то же самое, благо раутеры в большинстве своём дырявы, как решето).
2. Ставим на нашем сервере годный сертификат для gmail.com
3. Дожидаемся, пока клиент читает свою почту и собираем пароль
4. Просим любой следующий сервер прислать пароль на gmail.com
5. Профит.

а количество ключей в "Trusted Root Certification Authorities" на обычном Windows уже подходит к 400

Это второй вопрос, я уверен, что минимум к десятку из них ключи уже находятся Где Надо, и торгуются за 9000 денег Где Не Надо. Но даже если я буду доверять только рекомендациям лучших собаководов, это всё равно не поможет.

тоже американские и тоже subject to NSLs.

Это правда, но добавку новой CA просечь - и убрать назад, при желании, мазило опенсорс - легче, чем обнаружить, что то, что вы считали гуглем, уже месяц как не гугль.

свои сертификаты в список добавлять невозбранно?Добавка CA без прямой авторизации - это огромная дыра в безопасности. Т.

[cat_mucius]

Сценарий вполне, конечно - если есть годный сертификат для mail.google.com.
Просто если rootCA, выписавший его - тот же GeoTrust, что подписал настоящий гуглевский subCA, то обнаружить подмену становится ещё тяжелее, даже грамотным параноикам.

Добавка CA без прямой авторизации - это огромная дыра в безопасности. Т.е., конечно, если некая программа на вашем компе получила админские права - для вас это гейм овер в любом случае, тогда и сертификатов никаких не надо - пароли можно читать прямо с клавиатуры, а секреты - из памяти. Мы предполагаем, что в данном случае все правила гигиены соблюдены, на компьютере посторонней живности не имеется, потому что в противном случае и обсуждать-то нечегоНу не то чтобы дыра - это by design так, к сожалению. Админские права и не требуются - каждый юзер (и программа, бегущая под его аккаунтом) может управлять своим списком "Trusted Root CAs". И делать это можно вполне открыто и легально. Допустим, какой-нибудь media player при установке добавляет свой сертификат, для работы с каким-нибудь ихним

[stas]

Да уж, эта микрософтовская user-friendlyness им (а точнее, их пользователям) ещё не раз отольётся горькими слезами. И главное, какие лапочки - sha1 они показывают, как будто юзер, нажимающий на yes, знает, что такое sha1 и куда его совать. И ведь какой-то PM такую фичу в микрософте утвердил...